Windows Zwischenablage auslesbar

Mit Hilfe von präparierten Webseiten ist es beim Internet Explorer möglich, den Inhalt der Zwischenablage auszulesen. Nutzer des Internet Explorers sind gut damit beraten vor dem Surfen den Inhalt der Zwischenablage zu löschen. Unter Umständen kann es Webseiten gelingen vertrauliche Daten auszulesen, die vorher in die Ablage kopiert wurden. Beispielsweise verwenden zahlreiche Passwort-Manager die Zwischenablage, damit der Anwender auf einfache Weise seine Anmeldedaten in die Login-Felder einfügen kann. Lockt ein Angreifer sein Opfer etwa per Link in einer Mail anschliessend auf seine Seite, kann er das Passwort auslesen. Zu welcher Seite es passt, sieht er am Referrer, also an den Browserdaten, von welcher Seite sein Opfer kommt.
Die Sicherheitslücke im Internet Explorer ist nicht neu, sondern diese Interaktion ist eine ab Version 5 des IE gewollte Funktion des Browsers. Der Sicherheitsproblematik, die dadurch entstehen kann, sind sich jedoch nur wenige Nutzer bewusst. Um sich des Problems zu entledigen, sollten Anwender in den Sicherheitseinstellungen der Internet-Zone die Option "Einfügeoperationen über ein Skript zulassen" deaktivieren oder auf "Eingabeaufforderung" setzen. (31.08.05, Heise)

    Neue Sicherheitslücke im Internet Explorer

Microsoft untersucht derzeit Hinweise auf eine neue kritische Sicherheitslücke im Internet Explorer, über die ein Angreifer schädlichen Code einschleusen kann. Ein Besuch einer präparierten Webseite soll dazu auch mit einem voll gepatchten Windows-XP-SP2 PC ausreichen. Der Fehler wurde vom Sicherheitsspeziallisten Tom Ferris am 14. August an Microsoft gemeldet. Einzelheiten will Ferris erst dann veröffentlichen, wenn Microsoft einen Patch fertig gestellt hat. Bisher gibt es keine Hinweise darauf, dass der Fehler bereits von Crackern ausgenutzt wird. (30.08.05, Heise)

    Erneute Klagen gegen Filesharing-Nutzer

Wieder einmal wurden gegen 286 Internet-Nutzer von einem Interessenverband der US-Filmindustrie wegen Verletzung des Copyrights verklagt.

Diesmal haben die Motion Picture Association of America (MPAA) die Beschuldigten durch Daten ausfindig machen können, die sie von geschlossenen BitTorrent-Websites erhalten hat, gegen die sie in jüngster Zeit massiv vorgegangen war. Als Teil der außergerichtlichen Einigung mit einigen Betreibern seien Daten wie Server-Logdateien an Vertreter der Filmindustrie übergeben worden. (27.08.05, Heise)

    Google kommt mit Messaging-Dienst

Wie US-Medien berichten will Google schon am Mittwoch einen eigenen Instant Messaging-Service vorstellen und damit gegen AOL, MSN und Yahoo antreten. Neben dem Austausch von Sprachnachrichten und einer Chat-Funktion soll der "Google Talk" genannte Instant Messenger auch eine VoIP-basierte Telefon-Funktion bieten. Dieses Feature ist seit einiger Zeit auch bei den Konkurrenten vorhanden. Von Google war zu dem Thema bislang nur sehr wenig zu erfahren. Ein Sprecher bestätigte zwar, dass in dieser Woche ein neues Produkt vorgestellt werden soll, wollte aber keine weiteren Details nennen. (23.08.05, ZDNet)

    Zotop-Epidemie: Viele geben Microsoft die Schuld

Eine Internet-Umfrage von Sophos ergab, dass 35 Prozent Microsoft die Schuld an der Zotob-Epidemie der letzten Tage gaben. (siehe Bericht) 45 Prozent sahen die Hauptverantwortung beim Virenautor und 20 Prozent bei ihren Systemadministratoren, weil sie die Rechner nicht schnell genug gepatcht hatten.
Zotob nutzt eine Sicherheitslücke in Windows-Systemen, für die im Rahmen des Patch Day in der vergangenen Woche ein Patch bereitgestellt wurde. Betroffen sind Windows 2000, XP bis SP 1 und Windows Server 2003. Wäre das Update überall rechtzeitig installiert worden, hätte sich Zotob erst gar nicht verbreiten können.
Überraschend ist dabei, dass immerhin über ein Drittel der befragten Nutzer dennoch die Hauptschuld bei Microsoft sahen. (21.08.05, ZDNet)

    Warnung vor gefälschten eMule-Servern

Die Musik- und Filmindustrie stellt seit kurzem gefakte eMule-Server online, um Suchanfragen und IP-Adressen der Nutzer auszuspionieren. Um eMule oder eDonkey zu nutzen, muss sich der Client mit einem zentralen Server verbinden. Seit Anfang August tauchen immer häufiger neue Server auf, die von Anti-P2P-Firmen betrieben werden und offensichtlich im Auftrag der Musikindustrie die Aufgabe haben, Daten der Nutzer zu speichern.

So wird auf der Webseite von Razorback, einem der schnellsten Server gewarnt, dass es nur 2 offizielle Razorback Server gibt, nämlich Razorback 2.0 mit der IP: 195.245.244.243:4661 und Razorback 2.1, mit der IP 195.245.244.244:3000. Vier weitere in der eMule Serverliste auftauchende Razorback-Server beginnen mit der IP 64.34 und sind offensichtliche Fake-Server, die sich in San Antonio befinden. Wie die falschen Razorback Server tauchten seit August etwa zwanzig neue Server auf, wie z.B. die Sonny Boy-Server, die bei dem gleichen Unternehmen betrieben werden. (18.08.05, Razorback & interne Quellen)

    Die Plug&Play-Würmer kommen

Gleich eine ganze Armee neuer Würmer, die die Plug&Play-Schwachstelle unter Windows 2000 ausnutzen, verbreiten sich im Internet. Derzeit benutzen die Hersteller für die verschiedenen Varianten die Namen Zotob, Bozori, IRCBot, RDBot, Esbot, Mytob, CodBot, SDBot und Drudgebot, jeweils mit verschiedenen Suffixes. Offenbar stammen die Schädlinge von mehreren konkurrierenden Programmierern. Nach Einschätzung von F-Secure könnte es sich um einen Wettstreit von zwei oder drei Gruppen von Virenschreibern handeln, die um das größte Netzwerk infizierter PCs streiten. So versucht beispielsweise Zotob.F nach einer Infektion eventuell bereits laufende Bozori- und IRCBot-Würmer abzuschalten. Im Gegenzug machen Bozori-Ableger die Runde, die Zotob-Prozesse und weitere Plug&Play-Würmer abschießen. Ein ähnlichen Kleinkrieg gab es bereits 2004 zwischen den Autoren von Netsky und MyDoom.
Zusätzlich zum Exploit zur Plug&Play-Lücke verfügen einige der Würmer über weitere Tricks. So nutzen die RDBots laut F-Secure auch die über ein Jahr alte LSASS-Lücke aus. Zotob.C soll zudem in der Lage sein, sich über eine eigene SMTP-Engine zu versenden. Allein Trend Micro weist aber darauf hin, dass die Engine nicht richtig arbeitet. Anderfalls wären auch andere Windows-Systeme gefährdet, die nach einer Infektion als Ausgangsbasis für weitere Angriffe fungieren. Bislang wurden auch noch keine Samples per Mail registriert. Um das Risiko einer erfolgreichen Infektion durch das PnP-Gewürm zu beseitigten, genügt es, den von Microsoft zu Verfügung gestellten Patch zu installieren. Ein bereits infizierter Rechner kann mit Trend Micros Sysclean Package gereinigt werden. (17.08.05, Heise) 

    AMD startet Athlon 64 4000+ für Notebooks

AMD startet mit dem Athlon 64 4000+ und präsentiert damit den leistungsstärksten Prozessor für Full-Size-Notebooks. Der Chip ist mit 2,6 GHz getaktet und mit einem 1 MByte großen L2-Cache ausgestattet. Die Notebook-CPU soll ab sofort für 382 Dollar erhältlich sein.
Als einer der ersten Hersteller wird Fujitsu Siemens Computers den Mobile AMD Athlon 64 4000+ in seinem neuen Notebook Amilo A1667G einsetzen. Das Gerät soll ab September erhältlich sein. Aus der AMD-Prozessorfamilie Mobile Athlon 64 sind nun die Modelle 4000+, 3700+, 3400+, 3200+, 3000+ und 2800+ erhältlich. (16.08.05, ZDNet)

    Kaum Chancen für Freeware unter Windows Vista

Unter dem Motto "mehr Sicherheit" teilt Microsoft einen Seitenhieb an die Anbieter freier Software aus und feilt weiter an seinem Monopol. So sollen beispielsweise Word-Dokumente künftig verschlüsselt auf der Festplatte abgelegt und nur von vertrauenswürdiger Software geöffnet werden können. Das bedeutet in der Praxis, dass dafür zum Beispiel das "Open Office" extra zertifiziert werden müsste, damit es weiter unter Windows angewandt werden kann. Dadurch kann Microsoft die Benutzung von Freeware unter Windows Vista erheblich erschweren, denn diese Zertifizierungen sparen sich in der Tat viele Entwickler gerade kleinerer Softwareprojekte.
Auf keinen Fall soll man nach dem Willen von Microsoft mit dem neuen Betriebssystem ein Programm ohne gültige Produktlizenz öffnen können. (14.08.05, Manager-Magazin)

    Neue Trojaner treiben ihr Unwesen

Gleich zwei neue Trojaner verbreiten sich per Internet-Download oder über Netzwerkfeigaben und infizieren PCs. "Lineage.ha" stiehlt vertrauliche Daten wie Passwörter des infizierten Computers, indem er die Tastatureingaben speichert. Verborgen in einer EXE-Datei ist die gezippte Version des Trojaners 68 Kilobyte groß, entpackt sind es 81 Kilobyte. Wird Lineage.ha installiert, kopiert er sich selbst entweder als Internat.exe, als rundll32.exe oder als svhost32.exe in den Ordner "Programme". Anschließend registriert sich der Trojaner in der System Registry, damit er bei jedem System-Boot automatisch gestartet wird. Außerdem erstellt Lineage.ha eine Datei mit dem Namen "T1dll.dll" im System-Ordner.
Der zweite Schädling "Downloader-PZ" lädt Dateien unbemerkt aus dem Internet herunter. Downloader-PZ ist eine EXE-Datei und gezippt 3 Kilobyte, entzippt 12 Kilobyte groß. Folgende Dateien werden von ihm herunter geladen: dktibs.exe, mstask1.exe, mstask2.exe, mstask3.exe, systime.exe und toolbar.exe. Downloader-PZ kopiert sich selbst in das Windows-System und in den Root-Ordner und startet selbständig. Außerdem ändert er die Datei "Systemdriversetchosts" und blockt den Zugriff auf einige Websites. MicroWorld stellt ein kostenloses Removal-Tool für Downloader-PZ und Lineage.ha bereit. (12.08.05, onlinekosten.de)

    Trojaner tarnt sich als Rechnung

Eine angebliche E-Mail-Rechnung für einen beim Online-Reisedienst Opodo gebuchten Flug entpuppt sich als Trojaner. Die E-Mail haben folgenden Inhalt:
Sehr geehrter Opodo-Kunde,

vielen Dank für Ihre Buchung bei Opodo.

Wir schicken Ihnen Ihre Reisedokumente
umgehend mit der Deutschen Post zu.
Sollten Sie Ihre Tickets nicht innerhalb
der nächsten drei Werktage erhalten,
setzen Sie sich bitte mit unserem
Kundenservice in Verbindung.

Bitte begleichen Sie umgehend die
offene Rechnung: 759.99 Euro
(im Anhang beigelegt)

...
Ein Klick auf den Anhang rechnung.pdf.exe öffnet dann allerdings kein PDF-Dokument, sondern erweckt den Schädling zum Leben. Was er im Detail anrichtet, wird noch genauer untersucht; nach bisherigen Erkenntnissen lädt der Schädling weitere Dateien aus dem Internet nach, die unter anderem den Wurm Dumadur/Dumaru enthalten. Ältere Versionen von Dumadur/Dumaru öffneten Hintertüren und versuchten vertrauliche Daten auf dem System auszulesen. (11.08.05, Heise)

    Sechs Windows-Updates im August

Microsoft stellt für den monatlichen Patch-Day im August sechs sicherheitsrelevante Updates für Windows und den Internet Explorer bereit. Die mit den Patches beseitigten Lücken im Internet Explorer, dem Plug&Play-Code und im Drucksystem wurden von Microsoft als kritisch eingestuft. Das Update der Telefoniedienste klassifiziert Microsoft als wichtig, während die Lücken in Kerberos und im Remote-Desktop-Protokoll nur die Einstufung mittel erhalten.
Das als kritische Update MS05-038 für den Internet Explorer stopft eigentlich gleich drei Lücken. Das Problem mit COM-Objekten, die im Internet-Explorer gestartet werden, beschränkte sich wie vermutet nicht auf die Java-VM. Für vierzig weitere COM-Objekte setzen die Redmonder jetzt das Kill-Bit und verhindern damit den Aufruf aus dem Browser. Auch die Probleme bei der Behandlung kaputter Bilder soll das Update beseitigen. Und schließlich behebt der Patch noch eine nicht weiter spezifizierte Verletzung der Cross-Domain-Sicherheitsregeln.
Ein Pufferüberlauf im Plug&Play-Subsystem lässt sich laut MS05-039 nur auf Windows 2000 ohne Authentifizierung übers Netz ausnutzen, bei Windows XP SP2 und Windows Server 2003 stuft Microsoft das Problem als lokal und damit weniger schwerwiegend ein. Ähnliches gilt für einen Pufferüberlauf im Druckerwarteschlangendienst. MS05-043 zufolge führt er bei Windows XP Service Pack 2 und Windows Server 2003 nur zum Absturz des Druckdienstes, lässt sich aber nicht wie bei Windows 2000 und früheren XP-Versionen ausnutzen, um fremden Code auszuführen. Die Updates sind über den automatischen Update-Service verfügbar, da es sich um sicherheitsrelevante Updates handelt, ist die CD-Key-Prüfung nicht erforderlich. (10.08.05, Heise)

    Garantie für fehlerfreies Vista gefordert

Mit einer Kampagne will eine Organisation Microsoft dazu bewegen, die Fehlerfreiheit für Windows Vista zu garantieren. Die 1995 gegründete Anti-Microsoft-Bewegung "Committee to Fight Microsoft" (CTFM) nimmt die Planungen an Windows Vista (ehemals Longhorn) zum Anlass, um auf Microsoft entsprechenden Druck auszuüben, allerdings ist bislang noch unklar, wie dies konkret geschehen soll. Bekanntgegeben wurde auf einer Konferenz in San Francisco zumindest, dass eine Kampagne gestartet wurde, um zu verhindern, dass Windows Vista mit Fehlern auf den Markt kommt. Das Committee to Fight Microsoft fordert von Microsoft eine generelle und unbeschränkte Garantie für alle Käufer von Windows Vista, dass in der neuen Betriebssystem-Version keine Programmfehler enthalten sind.
Andy Martin, der Executive Director von CTFM, erklärte: "Bill Gates hat der Öffentlichkeit fehlerhafte Produkte verkauft" ... "Mehr als vier Jahre nach Erscheinen von Windows XP erhalte ich regelmäßig 'Updates' und 'Fehlerbereinigungen', was zeigt, dass das Produkt ursprünglich äußerst fehlerhaft war." Für Andy Martin ist dies Betrug am Kunden und ein inakzeptables Unternehmensverhalten.
Das Committee to Fight Microsoft (CTFM) strengte unter anderem 1998 eine Monopolklage gegen Microsoft an. (09.08.05, golem.de)

    Windows Vista nicht für Onboard-Grafik

Die Anforderungen für eine flüssige Darstellung der Benutzeroberfläche von Windows Vista stellt ungewöhnlich hohe Anforderungen. So befürchtet Microsoft, das Grafiklösungen im Niedrigpreis-Segment, insbesondere Onboard-Grafik-Lösungen, nicht schnell genug für eine flüssige Darstellung für die neue Benutzeroberfläche mit all den neuen Effekten sind.
Besonders die Aero Glass-Oberfläche soll durch Gebrauch von Pixelshadern im Rahmen von DirectX 9.0 die Grafikkarte stark belasten. Microsoft spricht von minimal 64 MB Videospeicher und natürlich DirectX 9.0-Kompatiblität. Es wird sich zeigen, inwiefern Grafiklösungen wie Intels Extreme Graphics, ATis Radeon X300 oder nVidias GeForce 6200 und insbesondere deren HyperMemory- beziehungsweise TurboCache-Derivate sich dem Ansturm der Effekte gewachsen zeigen.
Sollten sich Anwender trotzdem für eine derartige Grafiklösung entscheiden, so bittet Microsoft wenigstens auf die Möglichkeit zur Nachrüstung einer AGP- beziehungsweise PCI-Express-Grafikkarte zu achten. Da dies bis auf wenige Ausnahmen in Notebooks naturgemäss nicht möglich ist, wird Windows Vista wie bereits sein Vorgänger über eine anspruchslosere Benutzeroberfläche verfügen, die auch von älterer und leistungsschwächerer Hardware problemlos darstellbar sein wird.
Weiterhin gibt Microsoft vage Empfehlungen für den Rest der PC-Ausstattung aus. So werden für optimale Erfahrungen mit Windows Vista ein 64-Bit-fähiger Prozessor des derzeit oberen Leistungssegments, ein Gigabyte Arbeitsspeicher und eine S-ATA-Festplatte mit 7.200 U/Min, 8 MB Cache und Native Command Queueing empfohlen. Für den schnellen Datenaustausch favorisiert Microsoft einen DVD-Brenner und schnelle Netzwerktechnologien wie Ethernet mit 100 MBit/s oder WLAN mit 54 MBit/s. (07.08.05, ComputerBase)

    Windows-Update auch ohne Lizenztest

Mittlerweile existieren schon drei Möglichkeiten, den gerade von Microsoft eingeführten Lizenztest vor dem Windows-Update zu umgehen. Seit letzter Woche sind manuelle Updates nur noch mit Gültigkeitsprüfung möglich, die feststellt, ob die eingesetzte Windows-Version mit einem gefälschten Produkt-Key versehen ist. Diese können dann, bis auf einige Sicherheitsupdates, nicht mehr aktualisiert werden.
Es hatte nicht einmal 24 Stunden gedauert, bis die erste Möglichkeit gefunden wurde, mit einem Javascript-Code diese Prüfung zu umgehen. Mittlerweile hat Microsoft aber darauf reagiert und dieses Problem beseitigt. Die zweite Möglichkeit wurde mit einer geänderten .DLL-Datei realisiert.

Nun kursiert im Internet ein neuer "Lösungsvorschlag", der für Microsoft allerdings ziemlich peinlich ist: Die Echtheitsprüfung wird über ein Add-On (Windows Genuine Advantage) im Internet Explorer realisiert. Ist dieses deaktiviert, kommt man ohne Echtheitsprüfung zu den von Windows Update angebotenen Downloads. Immerhin bemerkt Microsoft, dass das Add-On für die Gültigkeitsprüfung deaktiviert ist. Der Download der Patches wird dadurch aber nicht verhindert. Dieser Trick funktioniert interessanterweise nur mit dem Internet Explorer. (05.08.05 Quelle: teilweise ZDNet)

    Sicherheitslücke bei Windows 2000

Die Sicherheitsexperten von eEye Digital Security haben einen ernsthaften Mangel im Microsoft-Betriebssystem Windows 2000 entdeckt. Durch die Sicherheitslücke könnte der PC leicht mit einem Wurm infiziert oder von Hackern angegriffen werden.
Problematisch ist, dass man die Schwachstelle nicht umgehen kann. "Man kann diesen Komponenten nicht abschalten, deaktivieren oder deinstallieren. Er ist immer in Betrieb", so Marc Maiffret, Leiter der Hacking-Abteilung von eEye. Genaue technische Details veröffentlicht das Unternehmen nicht, solange Microsoft noch kein Statement abgegeben oder ein Tool zur Reparatur zur Verfügung gestellt hat. Bekannt ist nur, dass es sich um ein Herzstück des Systems handeln soll.
Ein Sprecher von Microsoft hat angekündigt, dass der Konzern ein Statement zu der Sicherheitslücke in Windows 2000 abgeben wird, sobald der Bericht von eEye eingehend studiert wurde. (04.08.05, Yahoo)

    Anonymes Filesharing mit "Darknet"

Ein irische Programmierer arbeitet an einem neuartigen System, mit dem sich Informationen einfach und anonym verteilen lassen. Anders als beim herkömmlichen Filesharing soll das neue System nur Nutzer miteinander verbinden, die sich gegenseitig vertrauen. Zugang zu einem so genannten "Darknet" erhält nur, wer das Vertrauen von mindestens einem Mitglied zugesprochen bekommt. Die Informationen sind dann nur innerhalb der Gruppe zugänglich und für Aussenstehende nicht sichtbar. In einem Darknet sind die Nutzer auch besser gegen die Identifizierung durch Unternehmen oder Regierungsstellen geschützt.
Schon in wenigen Monaten will der Programmierer Ian Clarke sein neues System fertig stellen. Bereits vor fünf Jahren hatte er am Filesharing-System "Freenet" gearbeitet, das ebenfalls anonymes Tauschen von Daten ermöglichen sollte. Freenet besteht aus verschiedenen Netzknoten, über die verschlüsselte Dokumente verteilt werden. Dabei kennt ein Knoten nur seine jeweiligen Nachbarknoten und weder Quell- noch Zielort einer Datei. So kann nicht nachvollzogen werden, woher ein Datenpaket kommt und wohin es geschickt wird. (02.08.05, onlinekosten.de)